Lex Nokia -FAQ | EFFI.org

Lex Nokia -FAQ

[Viimeisen päivityksen ajankohta: 4.3.2009]

Tämä dokumentti on Public Domainia.

Lakiesitys HE 48/2008 vp sähköisen viestinnän tietosuojalain ja eräiden siihen liittyvien lakien muuttamisesta, joka tunnetaan myös nimillä urkintalaki ja Lex Nokia, hyväksyttiin eduskunnassa 4.3.2009. Tähän dokumenttiin on koottu olennaisia näkökulmia lakia koskien.

Luettavaa:

Tavallisia väittämiä ja niiden vastaväittämät

Lex Nokiaa koskevissa keskusteluissa samat argumentit tahtovat toistua. Tähän on koottu usein toistuvia väittämiä vastauksineen.

"Eihän rehellisellä ole mitään salattavaa."

Miksi sinulla sitten on vessan ovessa lukko, ikkunoissa verhot ja miksi et kerro todellista mielipidettäsi anopin uudesta hatusta?

Olemme niin tottuneita sekä antamaan muille että olettamaan itsellemme tietyn yksityisyyden, että emme edes huomaa sitä. Emme ennen kuin se puuttuu.

"Mutta tämähän koskee vain meilejä."

Laki ei koskisi pelkästään sähköpostia vaan ihan kaikkea IP-pohjaista liikennettä (webbiselailu, Internet-puhelut jne.).

"Mutta tämähän koskee vain työasioita."

Jos muutos olisi haluttu kohdistaa pelkästään työntekijöihin, se olisi tehty lakiin yksityisyyden suojasta työelämästä. Esitetty laki antaisi kaikille yhteisötilaajille (taloyhtiöt jotka hallinnoivat omaa viestintäverkkoaan, kirjastot, yliopistot, eduskunta jne.) oikeuden valvoa käyttäjiä.

"Mutta tämähän koskee vain yrityssalaisuuksia."

Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa. Joitakin esimerkkejä:

  • Teleoperaattori S:n toiminnasta on vuotanut inhottavia yksityiskohtia tiedotusvälineille. Yhtiön verkkokäyttösopimus päivitetään kieltämään yhteydenotot tiedotusvälineisiin ja automaattinen hakutoiminto asetetaan valvomaan kieltoa. Tarvittava merkittävä haitta syntyy vuotojen seurauksena laskeneesta yhtiön pörssikurssista.
  • Lukio X:n opetukselle kriittinen videosarja on alkanut ilmestyä YouTubessa. Rehtori päivittää verkkokäyttösopimuksen kieltämään videopalveluiden käytön koulusta ja asettaa automaattisen hakutoiminnon valvomaan kieltoa. Tarvittava merkittävä haitta syntyy luonnollisesti kohonneesta verkonkäytöstä ja koulun heikentyneestä maineesta, joka on vähentämässä oppilasmääriä.

Esimerkkejä voisi helposti keksiä lisää. 25.2.2009 esimerkiksi paljastui, että Lex Nokiaa voitaisiin käyttää tunnistamistietojen seurantaan, jos halutaan tarkkailla tekijänoikeuden suojaaman materiaalin epäiltyä luvatonta kopiointia, ja että tämä oli väitetysti ollut myös yksi EK:n keskeisistä tavoitteista. Tekijänoikeuksista ei kuitenkaan ollut sanaakaan hallituksen esityksessä(!). Tekijänoikeuskysymykset olivat kuitenkin luultavasti alusta alkaen olleet liikenne- ja viestintäministeriönkin asialistalla: toinen laista vastannut virkamies oli nimittäin neuvotteleva virkamies Jussi Mäkinen, jonka vastuulle ministeriössä kuuluvat televisio- ja radiotoiminta ja tekijänoikeuskysymykset. Mäkinen on entinen Tekijänoikeuden tiedotus- ja valvontakeskus ry:n (tekijänoikeudenhaltijoiden edunvalvontajärjestö) "internet-tarkastaja".

Ilmeisesti yrityssalaisuusargumentin katsottiin olevan helpompi myydä. Myös perustuslakivaliokunta keskittyi lähinnä vain yrityssalaisuuksiin arvioidessaan lain perustuslainmukaisuutta ja tunnistamistietojen seurannan muissa tapauksissa oikeuttava blanko-valtuutus ("viestintäverkon ohjeiden vastainen käyttö") jäi vähemmälle huomiolle.

"Yritys saa tarkkailla omaa tietoverkkoaan miten tahtoo."

Laki ei koske vain työpaikkoja, vaan kaikkia yhteisötilaajia, eduskunta mukaanlukien.

Lakia on kuitenkin perusteltu yrityssalaisuuksien suojaamisella, ei esimerkiksi työaikojen seurannalla. Epäilemättä jokin työnantaja voisi Lex Nokiaa kuitenkin työaikaseurantaankin käyttää.

Ihmisillä on tietty oikeus yksityisyyteen, jopa silloin kun viestinnän toinen osapuoli - esimerkiksi sähköpostin lähettäjä tai vastaanottaja - on töissä. Työnantajan lailliset keinot eivät saisi ylittää direktio-oikeutta (työnantajan oikeutta antaa määräyksiä työntekijöille). Jokainen ymmärtää, että jossain kulkee raja: työnantaja ei saa esimerkiksi pyytää työntekijää riisuuntumaan alasti USB-muistitikkujen löytämiseksi. Jos esimerkiksi yritys antaa työntekijälleen pääsyn Internettiin ja henkilökohtaisen viestintämahdollisuuden, niin työterveydenhuoltoon, ammattiyhdistyksen lakimieheen ja jopa kilpailevassa yrityksessä työskentelevään kaveriin pitää voida saada olla yhteydessä ilman pelkoa siitä, että viestintätiedot urkitaan.

Tietoverkkonsa väärinkäyttöä pelkäävän työnantajan ei ole pakko antaa työntekijöille pääsyä nettiin tai henkilökohtaista viestintämahdollisuutta. Työnantaja voi myös halutessaan esimerkiksi estää tiettyjen verkkosivujen käytön.

"Ette ole tutustuneet lakiin."

Esitetty lakiteksti valiokuntien esittämine muutoksineen löytyy Effin sivuilta.

Oikeammat vastaukset Liikenne- ja viestintäministeriön FAQ-kysymyksiin

Liikenne- ja viestintäministeriö (LVM) on julkaissut Lex Nokia -FAQ:n (LVM:kin käyttää laista nimeä "Lex Nokia"!). Alla on esitetty LVM:n kysymyksiin oikeammat vastaukset.

1. Mitä hyötyä laista on? Miksi lakia tarvitaan?

Voimassa oleva, vuodelta 2004 peräisin oleva, laki rajaa yhteisötilaajien mahdollisuudet käyttäjien viesteihin puuttumiseen virusten, roskapostin ja vastaavien uhkien ja väärinkäytösten torjumiseen. Uusi laki lisää listaan yrityssalaisuudet ja jopa viestintäpalvelujen ohjeiden vastaisen käytön, jotka jäävät lopulta yrityksen itsensä määriteltäviksi. Tämä huonontaa kaikkien oikeusturvaa. Laki kaivaa maata Suomessa perinteisesti tarkasti varjellun kirjesalaisuuden ja viestinnän luottamuksellisuuden alta.

On kansalaisten etu, että laissa on tarkat pykälät siitä, mitä vaikkapa työnantaja saa tehdä ja mitä ei. Uudessa laissa ei näin ole.

2. Kuka on yhteisötilaaja?

Yhteisötilaajia ovat organisaatiot, jotka itse huolehtivat viestintäverkkonsa käyttäjien sähköisten viestintäpalvelujen välittämisestä. Esim. yritykset, virastot, koulut, kirjastot ja taloyhtiöt, joilla on oma sähköpostipalvelin tai verkkoliikenteen reititin, ovat yhteisötilaajia.

3. Onko taloyhtiö yhteisötilaaja, jolle kuuluu väärinkäytösten selvittäminen?

Taloyhtiö on yhteisötilaaja, mikäli se hoitaa asukkaiden verkkoliikennettä keskitetysti. Mikäli verkkoliittymä on taloyhtiön nimissä tai keskitetysti hallittu, on taloyhtiöllä edellytykset verkkoliikenteen seurantaan. Tietohallinnon järjestelyt taloyhtiöissä on tavallisesti hyvin epämuodolliset.

4. Miten laki muuttaa nykyistä tilannetta?

Tunnistamistietojen käyttömahdollisuutta laajennetaan, ja lain piirissä on kaikki verkkoliikenne. Sähköpostin lisäksi tähän kuuluvat mm. pikaviestimet, internet-puhelut ja tiedonsiirtopalvelut. Erityisesti työntekijöiden oikeusturva heikkenee, koska laki jättää valtavasti tulkinnanvaraa niin sen suhteen mitä yhteisötilaaja voi seurata, kuin senkin suhteen mitä toimia seurannan aloittaminen edellyttää.

5. Milloin seuranta voidaan käynnistää?

Sitä laki ei selvästi kerro, mutta listaa lukuisia epämääräisiä toimenpiteitä joita edellytetään. Tiukin mahdollinen tulkinta tekisi valvonnasta mahdollista vain äärimmäisen harvoisssa organisaatioissa ja tiukasti rajatuissa ympäristöissä, jolloin laki olisi miltei kaikille yrityksillekin hyödytön. Väljällä tulkinnalla taas voisi mahdollistaa seurannan esimerkiksi edellyttämällä taloyhtiön verkkoa käyttäviltä asukkailta sopimuksen allekirjoittamista, ja toimittamalla valmiin lomakkeen tietosuojavaltuutetulle. Perustelujen riittävyys on puhtaasti tulkintakysymys.

6. Millainen yrityssalaisuuden on oltava, jotta seuranta voidaan käynnistää?

Seurannan aloittaminen ei edellytä yrityssalaisuutta, vaan siihen riittää epäily käyttösääntöjen vastaisesta käytöstä. Eli käytännössä mikä tahansa syy jonka organisaatio haluaa päteväksi katsoa.

Yrityssalaisuus määritellään rikoslaissa, ja sillä tarkoitetaan liike- tai ammattisalaisuutta, jonka vuotaminen olisi omiaan aiheuttamaan taloudellista vahinkoa joko kyseiselle yritykselle tai toiselle yritykselle. Käytännössä organisaatio sanelee itse mitkä seikat voidaan katsoa organisaatiolle haittaa tuottaviksi.

7. Mitä ovat tunnistamistiedot, joita lain myötä voidaan erikoistapauksissa tutkia?

Tunnistamistietoja ovat tiedot viestin lähettäjästä ja vastaanottajasta, yhteyden kestosta, reitityksestä, ajankohdasta sekä siirretyn tiedon määrästä. Tunnistamistiedot ovat kuin kirjekuoren osoitetiedot, mutta niihin ei sovelleta samaa luottamuksellisuutta kuin osoitetietoihin. Tämän lisäksi tunnistetietoja ovat kaiken verkkoliikenteen lähetysajat ja kohteet. Lisäksi sähköisen liikenteen urkinta mahdollistaa tehokkaat automaattiset analyysimenetelmät, toisin kuin perinteisen kirjepostin tapauksessa. Näin organisaatio voi tarkkoja malleja siitä miten käyttäjät verkossa toimivat, vaikka viestien täsmällinen sisältö jäisikin lukematta.

8. Mitkä oikeudet työnantajalla on tällä hetkellä estää yrityssalaisuuksien vuotaminen?

Mikään laki ei kiellä yrityksiä huolehtimasta tietoturvastaan ja yrityssalaisuuksien vuotamisen estämisestä, mutta käyttäjien viestintää ja yksityisyyttä laki suojaa. Yritykset voivat jo nyt estää usb-muistitikkujen käytön tai rajata pääsyn tunnettuihin webmail-osoitteisiin (Gmail, suomi24.fi tai Hotmail) työtekijöiltä. Yritykset voivat myös rajoittaa oman sähköpostinsa käyttöä parhaaksi katsomallaan tavalla, ja estää haitallisiin osoitteisiin lähettämisen. Yritykset voivat myös järjestää kulunvalvonnan ja käyttää salassapitosopimuksia tietojen suojaamiseen. Uusi laki mahdollistaa lisäksi käyttäjien yksityisyyden loukkaamisen kaikessa verkkoliikenteessä.

9. Mitkä ovat seuraukset, jos työntekijä jää kiinni luvattomasta käytöstä tai yrityssalaisuuksien vuotamisesta?

Yritykset ja yhteisötilaajat päättävät, miten haluavat edetä. Ne voivat tehdä asiasta tutkintapyynnön poliisille, jos katsovat jonkin rikoksen tunnusmerkistön täyttyvän. Jo aiemmat oikeustapaukset ovat kuitenkin osoittaneet viestien tunnistetietojen riittämättömyyden todistusaineistona, mikä asettaa lain perustelut hyvin outoon valoon.

Epäselväksi jää, mitkä ovat seuraukset jos yrityksen tietoturvaosasto on väärin perustein tutkinut työntekijöiden viestintätietoja.

10. Annetaanko yrityksille suuremmat valtuudet kuin poliisilla on?

Kyllä annetaan, sillä kyseessä on aivan erilaiset valtuudet. Vaikka yritys ja yhteisötilaaja hallinnoi viestintäjärjestelmiään samalla tavalla kuin kiinteistöään ja huonetilojaan, antaa uusi laki mahdollisuuden puuttua käyttäjän yksityisyyteen. Kulunvalvonnan laajentaminen vastaavalla tavalla voisi tarkoittaa jo ministeritasollakin mainostettua riisuutumista turvatarkastuksissa. Yksityisen viestinnän tietoihin ei edes poliisilla ole pääsyä ilman yhteisötilaajan suostumusta tai tuomioistuimen päätöstä, kun taas organisaatioille se halutaan sallia ilmoitusluontoisella toimenpiteellä.

11. Mitä tapahtuu, jos lakiesitystä ei hyväksytä?

Olemassa olevan lain epäkohdat jäävät voimaan, mutta perusoikeudet säilyvät. Hallituksen esityksellä on haluttu lisätä yhteisötilaajien valvontakeinoja laajentamalla tunnistamistietojen seurantamahdollisuuksia. Nämä tavoitteet jäävät toteutumatta vaikka lakiehdotus hyväksyttäisiin, sillä tunnistetiedot ovat täysin tehoton keino yrityssalaisuuksien vuotamisen estämiseksi. Lain hyväksyminen johtaisi siis vain perusoikeuksien heikkenemiseen.

Toisaalta, jos lakiesitystä ei hyväksytä, voimme jatkossakin luottaa siihen, että sähköpostiviestintää kohdellaan yhtä luottamuksellisesti kuin perinteistä kirje- ja puhelinviestintääkin, eikä rehellisen kansalaisen tarvitse olla huolissaan siitä että hänen viestintäänsä jatkuvasti kohdistetaan urkintaa, niin kotona, koulussa kuin työpaikallakin.

Hyviä kysymyksiä vailla vastauksia

  • Perustuslakivaliokunta ei käsitellyt yhteisötilaajia käytännössä lainkaan lausunnossaan työnantajien viedessä kaiken huomion. (vrt: http://web.eduskunta.fi/Resource.phx/pubman/templates/1.htx?id=1971) Eikö lain perustulainmukaisuus ole tältä osin siis edelleen avoin?
  • Miksi valvontavastuu ollaan siirtämässä viestintävirastolta tietosuojavaltuutetulle, jonka toimisto ei edes annetuille lisäresursseilla mitenkään pysty valvomaan lain toteutumista? Miksei valtiontalouden tarkastusviraston vastustusta huomioitu mitenkään?
  • Miksi laki sallii tilastollisen verkkoliikenteen seurannan niissäkin tilanteissa, joissa käyttäjien vähäisen määrän vuoksi kerätty aineisto on tosiasiallisesti yhdistettävissä tiettyihin käyttäjiin?
  • Perustuslakivaliokunnan mukaan laki voidaan säätää normaalissa järjestyksessä, koska "työnantaja ei ole viranomainen". Entä sitten ne tilanteet, joissa viranomainen valvoo joko kansalaisia (yhteisötilaajana) tai sitten työntekijöitään?
  • Kaikki poliittiset nuorisojärjestöt vastustavat lainsäädäntöhanketta. Eikö nuoriso siis ymmärrä, miten Internet toimii..?
  • Huomioiden kuinka paljon erilaisia tulkintoja laista on onnistuttu saamaan aikaiseksi, eikö sen sisältö ole joka tapauksessa aivan liian epäselvä, jotta se voitaisiin hyväksyä nykymuodossaan?
  • EK & LVM väittävät, että laki vain parantaa työntekijöiden asemaa. Jos tästä olisi oikeasti kyse, miksi moinen hätä ajaa lakia läpi?
  • Jos kerran kaikki ovat liikuttavan yksimielisiä siitä, että tässä nyt parannetaan yrityssalaisuuksien suojaa ja lain halutaan koskevan vain suuria yrityksiä, miksi pykäliä ei ole säädetty työelämän tietosuojalakiin ja/tai rajattu koskemaan YT-menettelyn piirissä olevia yrityksiä?
  • Miksi lakia halutaan ajaa kuin käärmettä pyssyn piippuun (lain aikaisempi inkarnaatiokin tyrmättiin)?